当期目录

2022年 第8卷 第12期    刊出日期：2022-12-03

上一期   

学术论文

物联网固件漏洞安全检测综述

李涛, 田迎军, 葛阳晨, 田源, 李剑,

2022, 8(12):  1146. 

摘要 ( )   PDF (1780KB) ( )  

参考文献 | 相关文章 | 计量指标

随着万物互联时代的到来，物联网的安全问题越来越突出，尤其是物联网中由于固件漏洞引起的安全隐患或攻击行为导致的经济损失越来越大.高效的固件漏洞检测技术越来越成为保障物联网设备安全的关键，因此研究物联网中固件漏洞安全检测相关方法与技术具有重要的理论意义和实用价值.分析了物联网固件安全问题频发的原因，归纳了物联网固件面临的主要安全威胁，针对固件漏洞分析所面临的挑战，综述了现有固件漏洞检测方法.通过对不同方法优势与不足的分析，为进一步提升固件安全缺陷检测方法的智能化、精准化、自动化、有效性、可扩展性提供指导.最后，对物联网固件漏洞安全检测进行了展望.

物联网PKI技术研究

秦体红, 汪宗斌, 张宇, 刘洋,

2022, 8(12):  1156. 

摘要 ( )   PDF (1041KB) ( )  

参考文献 | 相关文章 | 计量指标

随着信息技术的发展,万物互联成为当今科技领域的主流发展方向.在物联网设备节点日益增加的同时,物联网的安全认证问题变得日益突出.近几年,物联网的信息安全问题频出,大量的微型物联网设备缺乏网络认证机制.基于传统PKI机制的电子认证和密钥管理服务，需要复杂的数字证书管理机制，消耗大量的计算和网络资源，难以适用于物联网应用场景.相较于传统的认证方案,对于物联网设备而言,隐式证书方案在内存占用和计算量上更符合内存和计算资源受限的物联网应用环境.分析了物联网场景下PKI技术的局限性；研究了适合物联网应用的隐私证书机制以及基于商密SM2算法的隐式证书机制；讨论物联网中PKI技术的一些挑战和建议.





基于深度学习的网络入侵检测研究综述

黄屿璁, 张潮, 吕鑫, 曾涛, 王鑫元, 丁辰龙,

2022, 8(12):  1163. 

摘要 ( )   PDF (2421KB) ( )  

参考文献 | 相关文章 | 计量指标

互联网的迅速发展在给用户带来巨大便利的同时，也引发了诸多安全事故.随着零日漏洞、加密攻击等网络攻击行为日益增加，网络安全形势愈发严峻.入侵检测是网络攻击检测的一种重要手段.近年来，随着深度学习技术的持续发展，基于深度学习的入侵检测系统逐渐成为网络安全领域的研究热点.通过对文献的广泛调查，介绍了利用深度学习技术进行网络入侵检测的最新工作.首先，对当前网络安全形势及传统入侵检测技术进行简要概括；然后，介绍了网络入侵检测系统中常用的几种深度学习模型；接着，总结了深度学习中常用的数据预处理技术、数据集以及评价指标；再从实际应用的角度介绍了深度学习模型在网络入侵检测系统中的具体应用；最后，讨论了目前研究过程中面临的问题，提出了未来的发展方向.

基于假名的NFC安全支付认证协议

赵兴文, 段懿入

2022, 8(12):  1178. 

摘要 ( )   PDF (1131KB) ( )  

参考文献 | 相关文章 | 计量指标

近场通信(near field communication, NFC)是基于ISOIEC 18092标准的一种工作距离小于10cm的非接触通信技术.如今，NFC由于其可用性和易用性，吸引了大多数智能手机厂商和行业的关注，并在电子商务领域得到了广泛的应用.为了保证通信的安全，在过去的几年里，许多研究者都致力于解决NFC环境中存在的安全威胁.这些研究导致了NFC安全标准(NFCSEC)的引入，然而，该标准并没有为用户提供隐私保护.最近，有研究者先后提出了基于假名的NFC认证和密钥协商协议，分别声称所提出的解决方案符合安全要求.但是，之前的协议仍然存在安全缺陷，如无法抵御内部特权攻击.基于此提出了一种基于假名的安全认证协议，并证明了该协议的安全性.在提出的方案中，用户生成自己的密钥，由第三方通过零知识证明方案进行验证，并据此生成假名，通过该假名完成密钥协商.

一种可交叉的带时间约束的互异最小情节计数方法

李威, 吴志刚, 李健俊, 陆海龙

2022, 8(12):  1187. 

摘要 ( )   PDF (1425KB) ( )  

参考文献 | 相关文章 | 计量指标

情节挖掘中通常存在长串序列数据不易进行分割的现象，针对现有情节挖掘算法中未考虑时间约束、情节交叉发生以及存在重复计数等问题，提出一种可交叉的带时间约束的互异最小情节计数方法.综合考虑情节发生的时间跨度问题、信号事件的互异性以及情节的可交叉性，通过ONCETDM情节计数算法实现了单遍扫描序列数据，完成情节发生的精准计数.

运营商用户信息检测与安全分析研究

于文良, 马田良, 黄鹏, 邱杰,

2022, 8(12):  1192. 

摘要 ( )   PDF (2286KB) ( )  

参考文献 | 相关文章 | 计量指标

当前，移动互联网已融入到人们生活的方方面面.随着数字经济的快速发展，运营商用户信息的研究价值越来越大，重要性也随之不断提高.在《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》正式实施的大背景下，运营商用户信息的安全性越来越被全社会关注.根据运营商用户信息安全保护的相关要求，通过动态检测、静态检测相结合的安全检测实践和分析，提出对运营商用户信息的检测采用“一景一案”的创新检测方案.该方案针对用户信息的安全薄弱点，提出增强检测力度、频度和督促整改的思路，崩紧运营商用户信息安全的弦，为企业加速发展保驾护航.





技术应用

智能微电网中具有可扩展性的Web漏洞扫描工具研究与实现

廖微

2022, 8(12):  1198. 

摘要 ( )   PDF (3415KB) ( )  

参考文献 | 相关文章 | 计量指标

智能微电网作为一种新型的分布式电力系统，整合了传统的输配电技术和智能化的集成能源管理系统.作为控制中枢，微电网能量管理系统(MGEMS)需要借助互联网技术收集和处理大量的实时数据，进行调度决策和管理控制.一旦其中的Web应用存在漏洞，攻击者就能够攻击系统服务器，窃取电力数据甚至扰乱电能的正常传输与配送.针对智能微电网系统中涉及到的Web安全，设计并实现了一个较为全面的漏洞检测框架，可以由用户自由选择扫描引擎或进行自动化的漏洞扫描，以辅助安全人员进行漏洞检测.框架内部的功能封装为独立的API接口，供使用者后续扩展功能或编写插件.考虑到系统开销和资源占用，使用协程技术避免无意义的调度，提升检测性能.最后，对实际网站进行了攻击测试，实验结果显示该框架能实现密码爆破、模糊测试等功能，并能有效地检测Web系统中存在的漏洞.关键词





身份认证服务视角下规范人像信息应用对策研究

冯思琦, 宋杰,

2022, 8(12):  1209. 

摘要 ( )   PDF (815KB) ( )  

参考文献 | 相关文章 | 计量指标

在网络身份认证场景中，加强海量人像信息的保护力度已成为全球范围内的普遍共识.我国目前正在推进网络身份认证公共服务建设，为业务场景规范应用人像信息提供了正当其时的保障支撑.详细剖析了实人认证场景中严峻的人像信息保护问题，以及依托网络身份认证公共服务实现人像信息保护的大义所在.推进公共服务建设有着坚实的政策法规基础，并有利于实现服务应用中各方的利益诉求和公民权益保障.对此作出辩证分析，并提出了在身份认证公共服务过程中处理人像信息时应遵循的合规要求.


针对密码芯片电磁辐射泄漏的特征选择方法

文毅, 郭澍, 孔昊, 郭剑虹,

2022, 8(12):  1214. 

摘要 ( )   PDF (2176KB) ( )  

相关文章 | 计量指标

针对密码芯片运行过程中的电磁辐射泄漏，提出基于汉明重量模型的特征选择方法，该方法利用电磁辐射能量依赖于被处理数据汉明重量这一事实.首先，对密码算法中间值的不同汉明重量构建不同的类别，每个类别使用各自的选择明文执行重复加密运算，同时采集芯片辐射的电磁信号；然后，计算每个类别内电磁信号的均值以及任意2个类别间电磁信号的均值之差，得到一个差值矩阵；最后，定义1组变量对差值矩阵进行约束，将满足约束条件的点选为特征点.实验结果表明：基于汉明重量模型不仅能够实现特征点的有效选择，与相关系数特征选择方法相比，该方法还能显著减少模板构建所需的电磁泄漏迹数量.

区块链技术在政务领域的应用探索

朱典

2022, 8(12):  1223. 

摘要 ( )   PDF (3627KB) ( )  

参考文献 | 相关文章 | 计量指标

区块链作为新一代信息技术之一，在促进数据共享利用、优化业务流程环节、提升多方协同效率、降低总体运营成本、建立可信生态体系等方面具有较大的技术优势，为实现电子政务业务数据可信流通共享、安全资产信息防护、跨部门协同监管提供了能力新范式.设计了一种全新的区块链技术架构体系，通过构建区块链服务中台、政务应用链服务平台和政务安全链服务平台，在全省赋能多个试点应用，以实现对业务及多链数据资源进行盘点、联接、规范管理，构成基础的“数据资产”管理体系.

声纹识别在数字人民币中的应用探析

舒皓, 向银杉, 成舸, 郑方,

2022, 8(12):  1231. 

摘要 ( )   PDF (1353KB) ( )  

参考文献 | 相关文章 | 计量指标

声纹识别作为一种新兴的生物识别技术近年来开始逐渐走向成熟，不仅在中国建设银行等金融机构的多个场景得到应用，也被纳入中国人民银行数字人民币试点的可信身份技术体系.从数字人民币的账户安全要求和声纹识别技术的基本特征入手，就声纹技术对数字人民币的安全改进以及声纹支付的应用场景进行了探讨.

专家视点

我国网络可信身份发展路径探索与展望

杨林, 国伟, 章锋, 郝久月,

2022, 8(12):  1236. 

摘要 ( )   PDF (1941KB) ( )  

参考文献 | 相关文章 | 计量指标

当前，世界主要国家高度重视可信数字身份对数字经济发展和网络空间治理的重要支撑作用，纷纷出台战略规划，建立技术体系，完善法律法规，大力推动数字身份体系建设应用.近年来，我国也大力倡导和发展数字经济，数字化服务已深入人民群众生产生活各个方面.在给人民群众带来便利的同时，也产生了一些不容忽视的问题，如传统的基于实体证件的身份认证方式已难以适应网络化、数字化活动需求；个人身份信息滥采、滥用以及泄露问题依然突出，网络诈骗、侵犯公民个人隐私信息等违法案事件时有发生，严重扰乱了社会公共秩序，威胁着人民群众生命财产安全.因此，加快建立符合我国国情的网络可信身份服务管理体系.